Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése a Microsoft Defender XDR

A virtuális asztali infrastruktúra (VDI) egy olyan informatikai infrastruktúra-koncepció, amellyel a végfelhasználók szinte bármilyen eszközről (például a személyi számítógépről, okostelefonról vagy táblagépről) hozzáférhetnek a vállalati virtuális asztali példányokhoz, így nincs szükség arra, hogy a szervezet fizikai gépeket biztosítson a felhasználóknak. A VDI-eszközök használata csökkenti a költségeket, mivel az informatikai részlegek már nem felelősek a fizikai végpontok kezeléséért, javításáért és cseréjéért. A jogosult felhasználók bármely jóváhagyott eszközről elérhetik ugyanazokat a vállalati kiszolgálókat, fájlokat, alkalmazásokat és szolgáltatásokat egy biztonságos asztali ügyfélen vagy böngészőn keresztül.

Az informatikai környezet többi rendszeréhez hasonlóan ezeknek is rendelkezniük kell egy végpontészlelési és -válaszmegoldással (EDR) és víruskereső megoldással a speciális fenyegetések és támadások elleni védelem érdekében.

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR
• Virtuális asztali infrastruktúra - (VDI-) eszközök
• Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Állandó VDI-k – Az állandó VDI-gépek Végponthoz készült Microsoft Defender való előkészítése ugyanúgy történik, mint a fizikai gépek, például asztali számítógépek vagy laptopok előkészítésekor. Az állandó gépek előkészítéséhez csoportházirend, Microsoft Configuration Manager és egyéb módszerek használhatók. A Microsoft Defender portálon (https://security.microsoft.com) az előkészítés területen válassza ki a kívánt előkészítési módszert, és kövesse az ehhez a típushoz tartozó utasításokat. További információ: Windows-ügyfél előkészítése.

Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése

A Végponthoz készült Defender támogatja a nem állandó VDI-munkamenetek előkészítését.

A VDI-példányok előkészítése során problémák merülhetnek fel. A forgatókönyv gyakori kihívásai a következők:

• Rövid élettartamú munkamenet azonnali korai előkészítése, amelyet a tényleges üzembe helyezés előtt be kell kapcsolni a Végponthoz készült Defenderbe.
• Az eszköz nevét általában újra felhasználják az új munkamenetekhez.

VDI-környezetben a VDI-példányok élettartama rövid lehet. A VDI-eszközök az Microsoft Defender portálon az egyes VDI-példányok egyetlen bejegyzéseként vagy az egyes eszközökhöz tartozó több bejegyzésként jelenhetnek meg.

• Minden VDI-példányhoz egyetlen bejegyzés tartozik. Ha a VDI-példányt már előkészítették a Végponthoz készült Microsoft Defender, majd egy ponton törölték, majd újra létrehozták ugyanazzal a gazdagépnévvel, a VDI-példányt képviselő új objektum NEM jön létre a portálon.

  Megjegyzés:

  Ebben az esetben ugyanazt az eszköznevet kell konfigurálni a munkamenet létrehozásakor, például felügyelet nélküli válaszfájl használatával.

• Több bejegyzés minden eszközhöz – egy minden VDI-példányhoz.

Fontos

Ha klónozási technológiával helyez üzembe nem állandó VDI-kat, győződjön meg arról, hogy a belső sablon virtuális gépei nincsenek regisztrálva a Végponthoz készült Defenderbe. Ennek a javaslatnak az a célja, hogy a klónozott virtuális gépeket ne a sablon virtuális gépeivel megegyező senseGuid beállítással regisztrálja, ami megakadályozhatja, hogy a virtuális gépek új bejegyzésként megjelenjenek az Eszközök listában.

Az alábbi lépések végigvezetik a VDI-eszközök előkészítésén, és kiemelik az egy- és több bejegyzés lépéseit.

Figyelmeztetés

Az alacsony erőforrás-konfigurációjú környezetek esetében a VDI rendszerindítási eljárása lelassíthatja a Végponthoz készült Defender-érzékelő előkészítését.

Előkészítési lépések

Megjegyzés:

Windows Server 2016 és Windows Server 2012 R2-t úgy kell előkészíteni, hogy először alkalmazza a telepítőcsomagot a Windows-kiszolgálók előkészítése funkció működéséhez.

1. Nyissa meg a szolgáltatás-előkészítési varázslóból letöltött VDI-konfigurációs csomag .zip fájlt (WindowsDefenderATPOnboardingPackage.zip). A csomagot a Microsoft Defender portálról is beszerezheti:

   1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

   2. Válassza ki az operációs rendszert.

   3. Az Üzembe helyezési módszer mezőben válassza a VDI előkészítési szkripteket a nem állandó végpontokhoz.

   4. Kattintson a Csomag letöltése gombra, és mentse a .zip fájlt.

2. Másolja a fájlokat a .zip fájlból kinyert WindowsDefenderATPOnboardingPackage mappából az elérési út C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupalatti arany/elsődleges képre.

   1. Ha minden eszközhöz több bejegyzést implementál – minden munkamenethez egyet, másolja WindowsDefenderATPOnboardingScript.cmd.

   2. Ha minden eszközhöz egyetlen bejegyzést implementál, másolja Onboard-NonPersistentMachine.ps1 és WindowsDefenderATPOnboardingScript.cmd is.

   Megjegyzés:

   Ha nem látja a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup mappát, lehet, hogy el van rejtve. A Rejtett fájlok és mappák megjelenítése lehetőséget kell választania a Fájlkezelő.

3. Nyisson meg egy Helyi Csoportházirend Szerkesztő ablakot, és lépjen a Számítógép konfigurációja>Windows-beállítások>Szkriptek>indítása területre.

   Megjegyzés:

   A tartomány Csoportházirend nem állandó VDI-eszközök előkészítésére is használható.

4. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

   • Az egyes eszközökhöz tartozó egyetlen bejegyzés esetén:

     Válassza a PowerShell-szkriptek lapot, majd válassza a Hozzáadás lehetőséget (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban másolta az előkészítési szkriptet). Lépjen az előkészítési PowerShell-szkripthez Onboard-NonPersistentMachine.ps1. Nincs szükség a másik fájl megadására, mivel az automatikusan aktiválódik.

   • Az egyes eszközökhöz tartozó több bejegyzés esetén:

     Válassza a Parancsfájlok lapot, majd kattintson a Hozzáadás gombra (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban az előkészítési szkriptet másolta). Lépjen az előkészítési Bash-szkripthez WindowsDefenderATPOnboardingScript.cmd.

5. A megoldás tesztelése:

   1. Létrehozás egy készletet egyetlen eszközzel.

   2. Jelentkezzen be az eszközre.

   3. Jelentkezzen ki az eszközről.

   4. Jelentkezzen be az eszközre egy másik felhasználóval.

   5. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

      • Minden eszközhöz egyetlen bejegyzés esetén: Csak egy bejegyzést ellenőrizze Microsoft Defender portálon.
      • Eszközönként több bejegyzés esetén: Több bejegyzés ellenőrzése Microsoft Defender portálon.

6. Kattintson a Navigációs ablak Eszközök listájára .

7. Használja a keresési függvényt az eszköz nevének megadásával, majd válassza az Eszköz keresési típust.

Régebbi szintű termékváltozatok esetén (Windows Server 2008 R2)

Megjegyzés:

Az egyéb Windows-kiszolgálóverziókra vonatkozó utasítások akkor is érvényesek, ha az MMA-t igénylő Windows Server 2016 és Windows Server 2012 R2 előző Végponthoz készült Microsoft Defender futtatja. Az új egyesített megoldásba való migrálásra vonatkozó utasítások a Végponthoz készült Microsoft Defender kiszolgálómigrálási forgatókönyveiben találhatók.

A következő beállításjegyzék csak akkor releváns, ha a cél egy "Egyetlen bejegyzés elérése minden eszközhöz".

1. Állítsa a beállításazonosítót a következőre:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
   "VDI"="NonPersistent"
   

   vagy parancssor használatával:

   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   

2. Kövesse a kiszolgáló előkészítési folyamatát.

Virtuális asztali infrastruktúra (VDI) rendszerképének frissítése (állandó vagy nem állandó)

A virtuális gépeken futó virtuális gépek frissítéseinek egyszerű üzembe helyezésével rövidítettük ezt az útmutatót, hogy arra összpontosítsunk, hogyan kaphat frissítéseket gyorsan és egyszerűen a gépeken. Többé nem kell rendszeres időközönként aranylemezképeket létrehoznia és lezárnia, mivel a frissítések ki vannak bontva a gazdakiszolgálón lévő összetevő bitjeire, majd közvetlenül a virtuális gépre lesznek letöltve, amikor be van kapcsolva.

Ha előkészítette a VDI-környezet elsődleges rendszerképét (a SENSE szolgáltatás fut), akkor ki kell kapcsolnia és törölnie kell néhány adatot, mielőtt újra üzembe helyezné a rendszerképet.

1. Szálljon ki a gépről.

2. Az érzékelő leállításához futtassa a következő parancsot egy CMD-ablakban:

   sc query sense
   

3. Futtassa a következő parancsokat egy CMD-ablakban:

   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
   exit
   

Harmadik féltől származó virtuális merevlemezeket használ?

Ha nem állandó VDI-kat helyez üzembe a VMware azonnali klónozásával vagy hasonló technológiák használatával, győződjön meg arról, hogy a belső sablon virtuális gépei és replika virtuális gépei nincsenek előállítva a Végponthoz készült Defenderben. Ha az eszközöket az egyetlen belépési módszerrel készíti fel, az előkészített virtuális gépekről kiépített azonnali klónok esetében ugyanez a senseGuid is előfordulhat, és ez megakadályozhatja, hogy egy új bejegyzés szerepeljön az Eszközleltár nézetben (az Microsoft Defender portálon válassza az Eszközök>eszközök lehetőséget).

Ha az elsődleges rendszerképet, a virtuális sablont vagy a replika virtuális gépet az egyetlen belépési módszerrel készíti elő a Végponthoz készült Defenderbe, az megakadályozza, hogy a Defender új, nem állandó VDI-khez hozzon létre bejegyzéseket a Microsoft Defender portálon.

További segítségért forduljon külső szállítóihoz.

Egyéb ajánlott konfigurációs beállítások

Miután előkészítette az eszközöket a szolgáltatásba, fontos, hogy kihasználja a beépített veszélyforrások elleni védelmi képességeket azáltal, hogy az alábbi ajánlott konfigurációs beállításokkal engedélyezi őket.

Következő generációs védelmi konfiguráció

A következő konfigurációs beállítások ajánlottak:

Felhővédelmi szolgáltatás

• A felhőben biztosított védelem bekapcsolása: Igen
• Felhőben biztosított védelmi szint: Nincs konfigurálva
• A Defender Cloud hosszabb időtúllépése másodpercben: 20

Kizárások

• Tekintse át az FXLogix víruskereső kizárási javaslatait itt: Az FSLogix előfeltételei.

Valós idejű védelem

• Kapcsolja be az összes beállítást, és állítsa be az összes fájl figyelésére

Kármentesítés

• A karanténba helyezett kártevőket megőrzési napok száma: 30
• Mintabeküldési hozzájárulás: Az összes minta automatikus elküldése
• A potenciálisan nemkívánatos alkalmazásokon végrehajtandó művelet: Engedélyezés
• Észlelt fenyegetésekre vonatkozó műveletek:
  • Alacsony fenyegetés: Tiszta
  • Mérsékelt fenyegetés, Magas fenyegetés, Súlyos fenyegetés: Karantén

Átkutat

• Archivált fájlok vizsgálata: Igen
• Alacsony cpu-prioritás használata ütemezett vizsgálatokhoz: Nincs konfigurálva
• A felzárkózás teljes vizsgálatának letiltása: Nincs konfigurálva
• A felzárkózási gyorsvizsgálat letiltása: Nincs konfigurálva
• Processzorhasználati korlát vizsgálatonként: 50
• Leképezett hálózati meghajtók vizsgálata a teljes vizsgálat során: Nincs konfigurálva
• Napi gyorsvizsgálat futtatása: 12:00
• Vizsgálat típusa: Nincs konfigurálva
• Az ütemezett vizsgálat futtatásának napja: Nincs konfigurálva
• Ütemezett vizsgálat futtatásának napjának időpontja: Nincs konfigurálva
• Ellenőrizze az aláírás-frissítéseket a vizsgálat futtatása előtt: Igen

Frissítések

• Adja meg a biztonságiintelligencia-frissítések keresésének gyakoriságát: 8
• Egyéb beállítások alapértelmezett állapotban hagyása

Felhasználói élmény

• Felhasználói hozzáférés engedélyezése Microsoft Defender alkalmazáshoz: Nincs konfigurálva

Illetéktelen módosítás elleni védelem engedélyezése

• Illetéktelen módosítás elleni védelem engedélyezése Microsoft Defender letiltásának megakadályozásához: Engedélyezés

Támadásifelület-csökkentés

• Hálózatvédelem engedélyezése: Tesztelési mód
• SmartScreen megkövetelése a Microsoft Edge-hez: Igen
• Rosszindulatú webhelyhozzáférés letiltása: Igen
• Nem ellenőrzött fájlletöltés letiltása: Igen

Támadásifelület-csökkentési szabályok

• Konfigurálja az összes elérhető szabályt a naplózáshoz.

Megjegyzés:

A tevékenységek letiltása megszakíthatja a jogszerű üzleti folyamatokat. A legjobb módszer az, ha mindent naplózásra állít be, azonosítja, hogy melyeket lehet biztonságosan bekapcsolni, majd engedélyezze ezeket a beállításokat olyan végpontokon, amelyek nem rendelkeznek téves pozitív észleléssel.

Kapcsolódó témakörök

• Windowsos eszközök bevezetése Csoportházirend használatával
• Windows-eszközök előkészítése a Microsoft Configuration Manager használatával
• Windowsos eszközök bevezetése Mobileszköz-kezelő eszközök segítségével
• Windowsos eszközök bevezetése helyi szkript segítségével
• Végponthoz készült Microsoft Defender előkészítési problémáinak elhárítása

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.